在上期《微软AD是SSO平台?是LDAP目录服务器?这些概念别再弄错啦》中,对于微软 AD 相关的常见概念错误进行了解释,本期将解答使用微软 AD 在具体功能上有哪些问题。
通常,要操作 AD 首先需要服务器、备份、数据中心和 VP*。这些只是基础配置,但对于大多数企业,还需要弄清楚安全性、负载平衡/高可用性、数据备份等解决方案。当然还需要一名技术娴熟的 IT 管理员专门负责 AD 的安装和运维。 也就是说,每个企业运行 AD 所需的硬件和软件要求都不同。通常在确定运行 AD 所需资源时需要考虑以下内容:
只有准确评估企业的 IT 环境才能更有效地使用 AD,否则很可能会导致性能问题。如果遇到服务器软件、客户端访问许可等问题还需要和微软经销商进一步讨论。
当然,如果企业还部署了非 Windows 系统、应用程序、文件服务器和网络基础设施,还需要购买附加组件,如 Web 应用 SSO、多因子身份认证(MFA)、特权访问管理(PAM)、治理和审计等。
不可否认,AD 的确存在不少局限性,比如对象和可应用的组策略对象(GPO)都有数量限制,除此之外还涉及以下几方面:
事实上,AD 的这些限制主要源于服务器硬件容量、网络带宽、性能延迟等原因。为此,IT 管理员需要了解企业的整体基础架构,以及 AD 的这些限制会如何影响用户。
备份 AD 的最主要原因是为了保护花费大量时间和精力所构建的安全无缝的企业 IT 环境:用户都配置了所需的适当资源访问权限,组策略对象(GPOs)也准备就绪,逻辑结构更是完好无缺。 然而,如果没有备份,企业就会面临一切归零的风险。
重建 AD 不仅是对管理员的折磨,也严重影响了其他员工的工作推进,因为在重建 AD 之前,员工无法访问所需的 IT 资源。因此,为 AD 制定备份策略可以在遇到故障或灾害时节省大量精力和时间。
当然,备份 AD 只是企业要考虑的灾备场景之一。此外,企业还需要考虑断网、硬件故障、人为错误等各种情况。正如 IT 管理员所知道的,身份验证服务通常是需要全天候正常运行的举措。
服务器的使用寿命通常在5年左右。超过五年就可以考虑更换。如果企业还在使用 Windows Server 2003 或 Windows Server 2008,强烈建议购买新的域控制器,上述两种服务器分别在2015年7月和2020年1月14日停产。
在构建 Active Directory 基础架构时,确实有一些最佳实践可以帮助企业保持安全性,同时避免配置问题。企业可以参考下列建议:
上一节提到的最佳实践也包含了部分安全措施,例如为 AD 及时更新和打补丁,遵循最低权限原则,不要将域控制器用于域服务所需以外的任何角色。
在物理安全方面,可以考虑给服务器机房上锁,在所有接入点设置警报,安装监控,并设置自然灾害预警和防火系统。此外,企业也必须对有权访问 AD 的所有用户进行安全培训。
当然,对于许多企业来说,保障物理安全的工作可以交给云厂商。
目前来说,企业要实现 AD 的高可用性还没有通用的方法论可以借鉴。不同的企业对于服务器的正常运行时间和标准要求不同。但是,除了风险承受度高的管理员之外,冗余一般是企业的“必备”方案。中小企业经常会在生产环境中使用一个直接域控制器,然后再预备一个域控制器用于故障转移。这种通用的冗余策略同样也适用于大型企业。
很多网络基础设施和硬件组件是确保高可用性的必要条件。而现在不少企业正在转向云计算平台并依靠云厂商来帮助解决高可用性和负载平衡问题。
从技术上角度讲,AD 确实可以在 MacOS 上运行,但功能上肯定不如 Windows 系统齐全。一般来说,对 MacOS 的深度自动化控制只有通过第三方目录扩展或移动设备管理器 (MDM)才能实现。此外在 MacOS上使用 AD 时,也很难对用户严格控制,包括用户预配、取消预配和权限修改。
掌握 AD 的使用方法是很有价值的的一项技能,在任何企业都适用,特别是想在采用微软系工具的 IT 部门工作的员工。Azure 云服务、Sharepoint 等都需要 AD 的支持。
当然,AD 对于 IT 人员也并不是非学不可的。越来越多云优先的现代企业正在完全绕过本地 AD,直接使用基于云的目录服务。例如宁盾基于身份目录即服务(DaaS)理念推出的 MeConnect 方案和 NingDS 身份目录云,均是基于云的一站式身份管理方案,能够将用户连接到网络、终端、应用、多云等IT资源,无论该资源是在本地还是云端。并扩展了现代企业所需的多种能力,诸如 Web 应用单点登录 SSO、多因子身份认证 MFA、用户自助服务等功能,更符合现在的 IT 环境及用户体验需求。
(本文来源于宁盾,仅供学习和参考,未经授权禁止转载和复制。如欲了解微软AD更多内容,可前往宁盾官网博客解锁更多干货)